?
大型(xing)企業(yè)在無(wu)線網絡建設期(qi)間要(yao)充分考慮(lv)訪客(領導�����、客(ke)戶����、合作(zuo)伙伴(ban))接入網絡的(de)需求(qiu)。首先從安全(quan)性考慮��,訪客(ke)網絡必須(xu)要和辦(ban)公網絡分開(kai)����,訪客網絡單(dan)獨提供(gong)給訪客使用(yong)��。從用戶體驗(yan)角度考慮�����,訪客(ke)接入(ru)網絡的驗證(zheng)方式一定(ding)要做到(dao)簡單易行�����,繁(fan)瑣的驗證方(fang)式會(hui)降低訪(fang)客對企業(yè)(ye)的整體印象(xiang)��。同時對于訪(fang)客網絡,企業(yè)還(hai)需要(yao)建立完善(shan)的網絡安(an)全管理(li)機制�����,避免由(you)于訪客的網(wang)絡不良訪問給(gei)企業(yè)帶(dai)來的法律風(feng)險�����。對(dui)于企業(yè)員(yuan)工移動(dong)辦公上網��,更需(xu)要做到可(ke)管控(kong)����,上網行為做到(dao)可追溯(su),企業(yè)有(you)效的帶寬(kuan)資源得(de)到合理的分(fen)配和保證����,才(cai)能使企業(yè)(ye)的業(yè)務系統(tǒng)(tong)正常且(qie)穩(wěn)定高(gao)效地運(yun)行,同時保證企(qi)業(yè)信息安全(quan)�����,避免機(ji)密信息(xi)泄露��。
存在的(de)問題(用戶(hu)需求(qiu))
1、接入不安(an)全:缺乏安(an)全可(ke)靠的認(ren)證機制����,企業(yè)無(wu)線網絡接入(ru)不安全
2、上網權限(xian)混亂:缺乏(fa)有效的(de)控制策(ce)略��,員工上(shang)網權(quan)限不分明
3�����、數據信(xin)息安全(quan):缺乏有效的(de)數據加(jia)密機制����,企業(yè)(ye)數據被黑(hei)客竊取篡改
4、無線信號(hao)差:AP性能不(bu)佳�����,上(shang)網總掉線��,點位(wei)規(guī)劃不(bu)合理��,信號(hao)盲區(qū)(qu)多
5����、漫游效果差:不(bu)能實現二三(san)層漫游,移(yi)動辦(ban)公時��,業(yè)(ye)務中斷
解決方(fang)案:
結合用戶無線(xian)網絡需求情況(kuang)�����,結合產品自身(shen)技術特點�����,為(wei)了滿足用戶(hu)構建(jian)一個高(gao)速�����、穩(wěn)(wen)定��、安全�����、可(ke)靠�����、易于管(guan)理的無線接入(ru)網絡的需求(qiu)��,本設計方(fang)案按照AP+AC的結構(gou)化無線(xian)網絡解(jie)決方案進(jin)行設(she)計。具體設計為(wei)在總部設(she)置總(zong)部AC,在大型分支(zhi)機構設置(zhi)分支AC與分支AP����,中(zhong)型分支(zhi)機構設計(ji)二級,三(san)級交換機����,分支(zhi)AP。小微型分支機(ji)構直接設(she)置分支AP��?����??zong)部AC可以對(dui)大型分支(zhi)機構(gou)的AC進行管理��,當(dang)網點(dian)控制器采用集(ji)中管理(li)的模式(shi)進入(ru)到中心端控(kong)制器時(shi)�����,會自動下(xia)載中心端(duan)的公共配置(zhi)����,比如IP組(zu)�����、MAC地址庫、時(shi)間計劃�����、角色授(shou)權����、認證頁(ye)面等 ?�?偛緼C也(ye)可以直(zhi)接管理中(zhong)小型分支(zhi)機構(gou)的分支(zhi)AP����,實現統(tǒng)一管理(li)。
方案設計:
安全無線整體(ti)解決方案:
接入前&接(jie)入時進行身(shen)份認證�����、安全無(wu)線網卡(ka)�����、賬號綁定(硬(ying)件碼(ma)+手機號(hao))��,非法熱點檢(jian)測及防御、網絡(luo)攻擊防護�����、射頻(pin)定時關閉及(ji)安全加固(gu)����。
接入(ru)后&上網時進行(xing)訪問權限控制(zhi)。
上網后進行上(shang)網行為記錄����。
上網(wang)用戶身份實名(ming)認證(zheng):
無線辦(ban)公網采(cai)用802.1X/Portal/WAPI認證(zheng),外置AAA和RADIUS+AD用于存(cun)儲用(yong)戶賬號密碼��。
每個(ge)賬號對應一(yi)個員工(gong)��,包括姓(xing)名�����、部門(men)��、性別以及身(shen)份證��、手機(ji)號等個人信息(xi)����,保證每(mei)個上網的賬號(hao)都是可(ke)尋的,便于安(an)全管理��。
用戶(hu)輸入賬號密碼(ma)上網(wang)驗證時(shi)均采用加(jia)密傳輸�����,防(fang)止黑客空中(zhong)攔截��,竊取賬(zhang)號密(mi)碼等數據(ju)��。
上網賬號(hao)自動(dong)綁定終端:
自動將(jiang)賬號(hao)與終端的硬(ying)件特征碼進行(xing)綁定����,防(fang)止賬(zhang)號被他人使(shi)用或者被盜(dao)用。
每臺設(she)備的硬(ying)件特征(zheng)碼是唯一(yi)的�����,無(wu)法通過軟件(jian)修改����。即使通(tong)過軟(ruan)件修改了仍然(ran)可以識別原始(shi)的。
每個(ge)賬號(hao)最多可以綁(bang)定5臺終端�����,超過(guo)1臺時需要管(guan)理員審核。
上網賬(zhang)號二次綁(bang)定手機(ji)號碼:
賬號首(shou)次登陸時(shi)需要綁定手(shou)機號并輸入(ru)短信驗(yan)證碼(ma)����,當用戶賬號(hao)在新終端登(deng)陸時(換(huan)終端/被他用/被(bei)盜),不僅需要(yao)輸入密碼(ma)�����,還需要輸入短(duan)信驗證碼��,解決(jue)員工賬號認證(zheng)的安(an)全問題
綁定手(shou)機號碼的用戶(hu)��,可以自(zi)助重置密(mi)碼和修改密碼(ma)��,無需(xu)通過IT管理(li)員��。
用戶密碼(ma)管理及(ji)自助修改:
無需通過(guo)管理員(yuan)即可(ke)修改密碼(ma)����,提高效率及減(jian)輕管理員工作(zuo)壓力。
通過口袋助(zhu)理�����、釘釘、企業(yè)號(hao)等手機(ji)MOA類APP軟件進(jin)行無線密(mi)碼修改(gai)����。
若賬號綁(bang)定了手機(ji)號碼��,可通過(guo)手機驗證碼自(zi)助修改��。
上網(wang)終端合法效驗(yan):
采用安全(quan)無線(xian)網卡(ka)接入無(wu)線網絡�����,終端(duan)與AP熱點的(de)雙向驗證(zheng)����,提高(gao)安全性。
可以將無線(xian)網絡設(she)置為(wei)只有安裝(zhuang)了安全無線網(wang)卡的終端才能(neng)接入(ru)無線網絡����。
支持設置(zhi)安全(quan)無線網卡(ka)只能(neng)連指定SSID無(wu)線網絡,無法連(lian)接非(fei)授權SSID�����。
網卡與AP數(shu)據傳輸時自動(dong)進行數據加密(mi),保證無(wu)線的空(kong)口安全�����。
無線(xian)熱點掃(sao)描及非法熱點(dian)抑制:
背景:黑客在附(fu)近搭建一個(ge)一模一樣或者(zhe)類似的WIFI名稱(cheng)�����,誘使用(yong)戶連(lian)到虛假釣魚WIFI上(shang)��,黑客利用分析(xi)軟件從用戶(hu)上網產生的(de)數據包(bao)中分析提(ti)取用(yong)戶隱私信息��。
我們通過(guo)WIPS無線入侵防(fang)御系統(tǒng)實時檢(jian)測周圍無線信(xin)號�����,當(dang)檢測出來(lai)的信號BSSID��、且AP源MAC地(di)址不在授權(quan)列表中(zhong)時�����,我們向對應(ying)的AP和(he)終端發(fā)送(song)解除(chu)關聯幀��,讓終(zhong)端無法連上釣(diao)魚WIFI��。7×24小(xiao)時不間斷(duan)監(jiān)測網(wang)絡。
上網行(xing)為嚴格控制(zhi):
強大的管理:通(tong)過應(ying)用識別技術�����,可(ke)以根據應用類(lei)型或者具體某(mou)一種應用進行(xing)封堵����,包(bao)括視頻����、論壇、游(you)戲����、金融、下(xia)載等2400多(duo)種網絡應(ying)用��。
通過應(ying)用識別技術��,可(ke)以根(gen)據應(ying)用類(lei)型或者具體(ti)某一種應用(yong)進行封堵����,比如(ru)上班時間不允(yun)許炒(chao)股,不允許P2P下載(zai)����,不允許外(wai)發(fā)敏感文(wen)件等����; 支持主流(liu)移動平(ping)臺����,可識別IM、社(she)交�����、Mail�����、新(xin)聞��、炒股等應(ying)用�����。
無線控制器(qi)內置千萬級(ji)別的URL分(fen)類庫�����,能夠(gou)對URL進(jin)行識別(bie),包含新聞�����、購(gou)物��、金融(rong)����、教育等18個種類(lei)的URL地址; 準確識(shi)別目(mu)前主流(liu)網站�����,識別(bie)率高(gao)達99.9%�����,有(you)效實現(xian)網頁過濾��。例如(ru)禁止登陸非(fei)法網站
通過(guo)基于(yu)時間段的(de)訪問(wen)控制(zhi)策略�����,實現不同(tong)的時間段(duan)不同的(de)訪問權限(xian)�����,比如上班時(shi)間�����,禁止訪(fang)問網(wang)上銀行��、游戲(xi)����、論壇貼吧等與(yu)工作無關的應(ying)用,下班時間則(ze)不受限制(zhi)��。
辦公區(qū)(qu)域內�����,不同辦公(gong)部門總會有各(ge)自專屬的無(wu)線網絡����,并且(qie)不希望部(bu)門之外的(de)成員使用(yong)這個網絡。無(wu)線網絡控(kong)制器可以(yi)根據(ju)用戶(hu)的屬性�����,限制禁(jin)止非本(ben)部門的用(yong)戶接入。
典型無線網絡(luo)攻擊防護:
對典型的危險(xian)攻擊行為進(jin)行檢測�����,當超(chao)過設定(ding)的閾值(zhi)后自動將攻(gong)擊者加入到黑(hei)名單中(zhong)��,并凍結一(yi)定時間(jian)�����,即時發(fā)現網(wang)絡攻擊(ji)并進行防御�����。
檢測的攻擊(ji)包括:DDOS防御����、ARP掃描(miao)����、IP掃描、端口掃(sao)描防(fang)御����,禁止客(ke)戶端(duan)私設IP以及ARP��、網關(guan)欺騙防(fang)御��、DHCP請求泛(fan)洪防(fang)御��。
無線(xian)射頻定時關(guan)閉開啟(qi):
通過射(she)頻關閉控制策(ce)略�����,可以指定(ding)某SSID網絡(luo)��,定時自動關(guan)閉和開啟(qi)無線網絡的(de)射頻信號�����,晚(wan)上下班(ban)后自動關(guan)閉無線(xian)射頻信號�����。
一方(fang)面可(ke)以節(jié)能減(jian)排�����、節(jié)省電費(fei)支出����;另一方面(mian)又能防止非法(fa)用戶利(li)用深夜時(shi)間入(ru)侵無線網(wang)絡,做(zuo)一些非(fei)法的操作(zuo)�����。
有線無(wu)線一體化管理(li):
NAC的有線無(wu)線一(yi)體化��,支持對有(you)線用戶(hu)的接(jie)入認證��、訪問控(kong)制��、流量管理����、上(shang)網行為審計(ji)等,
并提供統(tǒng)(tong)一中文Web管理界(jie)面����,一站(zhan)式服(fu)務,極大的(de)降低網絡建設(she)成本����。
網絡分權(quan)分級管理:
分配不同的管(guan)理員分別(bie)管理各自權(quan)限區(qū)域(yu)的無線AP�����,可以精(jing)細到對某AP分(fen)組有管理權限(xian),該管理(li)員可以(yi)在該AP分組上建(jian)立無線網(wang)絡��,能夠激活(huo)��、刪除接(jie)入點�����,能夠對(dui)AP的配置進(jin)行編輯修(xiu)改����。
可指定管(guan)理員針(zhen)對每個頁(ye)面的編輯(ji)或可查看權限(xian),控制粒(li)度到控(kong)制器上的(de)各個頁面����,對(dui)某個(ge)頁面沒有(you)讀權限(xian)則登錄時(shi)不顯示(shi)。
移動(dong)APP隨時隨地運(yun)維管理:
支持跨互聯網(wang)運維(wei)管理
登陸APP進行(xing)維護管理(li):不同管理員�����,不(bu)同權(quan)限
查看網(wang)絡運行情(qing)況:在線(xian)用戶(hu)����、在線(xian)AP數量、實(shi)時流(liu)量
無線(xian)網絡管(guan)理維護:開啟關(guan)閉SSID、終端綁定審(shen)批��、二(er)維碼(ma)上網審(shen)核
故障��、審批(pi)實時(shi)通知(zhi):AP離線警告����、服務(wu)器離線警(jing)告、網絡(luo)攻擊告警
方案優(yōu)勢(shi):
1�����、最豐富(fu)的無線安(an)全機制�����,提(ti)供從安(an)全接入(ru)到安全上網等(deng)端到(dao)端的安全策(ce)略
2�����、合理(li)管控工(gong)作人員上(shang)網行為(wei)�����,提升工作效(xiao)率�����、防止帶(dai)寬浪費�����,有(you)線無線雙(shuang)重管控
3����、為會議(yi)室,報告廳等(deng)人員密集區(qū)域(yu)接入(ru)網絡提高(gao)保證(zheng)����,解決有線網口(kou)不足的(de)問題;
4�����、為企(qi)業(yè)員工的移動(dong)辦公提供支撐(cheng)����,內部員工可通(tong)過無線網絡(luo)隨時安全接入(ru)內部網(wang)絡,實現辦公�����;
5、內部員工(gong)賬號(hao)及個人(ren)信息(xi)綁定��,便于安全(quan)管理����;
6、內部員工可通(tong)過自己的辦(ban)公設備在企(qi)業(yè)大樓內快(kuai)速移(yi)動辦(ban)公����,網絡接入更(geng)快速(su),上網行為管(guan)理系統(tǒng)(tong)對員工(gong)上網行為(wei)進行(xing)審計與管(guan)控
7��、來訪客戶接入(ru)企業(yè)網絡��,可(ke)根據(ju)不同需(xu)求��,分配不同(tong)的上網權限�����,保(bao)證了接入(ru)的安全(quan)性同(tong)時提升群眾(zhong)上網的體(ti)驗
8����、豐富的(de)認證機制,滿(man)足組織對(dui)無線網絡安(an)全��、快(kuai)速接入
9、投資成本低(di)��,通過部署無線(xian)控制器替換(huan)原有網絡(luo)的出口路(lu)由��、行為管理(li)以及無(wu)線控制(zhi)器
